Fråga: Hej, vad är integritetskänsliga uppgifter? När jag läser om GDPR har jag uppfattat det som att det är skillnad på känsliga personuppgifter och integritetskänsliga uppgifter. Däremot har jag svårt att förstå skillnaden. Jag ser exempelvis mitt kreditkortsnummer som känsligt, men det verkar inte GDPR.
Vad är integritetskänsliga uppgifter?
Svar: Hejsan,
Tack för din fråga. Det går att dela in integritetskänsliga uppgifter i fyra olika grupper. Nedan följer en sammanfattning av de olika grupperna:
Grupp 1
Den första gruppen är känsliga personuppgifter. I den första gruppen, är det de personuppgifter som enligt GDPR är definierade som ”känsliga personuppgifter”. Exempelvis uppgifter om en fysisk person som avslöjar politiska åsikter, etnicitet, medlemskap i fackförening m.m. Dessutom är uppgifter om hälsa en känslig personuppgift, exempelvis uppgifter om sjukfrånvaro från arbete. Enligt huvudregeln i GDPR är det inte tillåtet att behandla eller lagra känsliga personuppgifter. Däremot finns det undantag från denna huvudregel.
Grupp 2
Personuppgifter som har anknytning till lagöverträdelser som innefattar brott, fällande domar i brottmål eller andra sammanhängande säkerhetsåtgärder hör till den andra gruppen av integritetskänsliga personuppgifter. Personuppgifter om lagöverträdelser avser uppgifter som exempelvis avslöjar att en person har begått ett brott, blivit häktad, fälld i domstol eller liknande.
Det finns dock vissa personsöktjänster som har ett så kallat frivilligt utgivningsbevis, vilket innebär att de är undantagna från reglerna i GDPR och har grundlagsskydd. Detta innebär att personsöktjänster till stora delar är undantagna från reglerna i GDPR, och att de därav får publicera integritetskänsliga uppgifter.
Integirtetsskyddsmyndigheten har fått in mängder med klaogmål från personer mot personsöktjänster och de har sammanfattat en rapport om detta. Klicka här för att läsa mer om rapporten på Integritetskyddsmyndighetens hemsida.
Grupp 3
I grupp tre har vi personnummer och samordningsnummer. Det kan vara bra att observera att personnummer faktiskt inte är en känslig personuppgift enligt GDPR utan en integritetskänslig uppgift.
Grupp 4
Till den fjärde gruppen hör de så kallade subjektivt integritetskänsliga uppgifterna. Dessa typer av uppgifter har inga specialbestämmelser i GDPR, utan är främst kopplade till den subjektiva upplevelsen av hur pass integritetskänsliga uppgifterna är. Exempelvis anser många människor att deras bankkontonummer är integritetskänsliga och att de ska bli hanterade med sekretess och försiktighet. Personuppgifter som är kopplade till ett hushåll eller annan privat angelägenhet är ofta också uppfattad som subjektivt integritetskänsliga uppgifter. Dessutom kan lönesamtal eller utvecklingssamtal på arbetsplatsen vara integritetskänsliga om de upplevs vara det av personen det berör.
Ej känsliga personuppgifter
Kreditkortsnummer är faktiskt inte en känslig personuppgift som många kan tro. Däremot måste det bli lagrat med högre säkerhet än till exempel ett namn på en anställd eftersom svåra konsekvenserna om obehöriga får tillgång till ett kreditkortsnummer. Det går att hitta mycket bra och användbar information på Integritetsskyddsmyndighetens webbplats som handlar om GDPR. Exempelvis nya riktlinjer, vägledningar, granskningar utdelade sanktionsavgifter m.m